Parser für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM) (Öffentliche Vorschau)
In Microsoft Sentinel erfolgen das Parsing und die Normalisierung zur Abfragezeit. Parser werden als benutzerdefinierte KQL-Funktionen erstellt, die Daten in vorhandenen Tabellen (wie etwa CommonSecurityLog, benutzerdefinierte Protokolltabellen, Syslog) in das normalisierte Schema transformieren.
Benutzer verwenden Parser des erweiterten Sicherheitsinformationsmodells (Advanced Security Information Model, ASIM) anstelle von Tabellennamen in ihren Abfragen, um Daten in einem normalisierten Format anzuzeigen und alle für das Schema relevanten Daten in die Abfrage einschließen zu können.
Informationen dazu, wie Parser in die ASIM-Architektur passen, finden Sie im ASIM-Architekturdiagramm.
Wichtig
ASIM befindet sich derzeit in der Vorschauphase. In den zusätzlichen Nutzungsbestimmungen für Microsoft Azure-Vorschauen finden Sie weitere rechtliche Bedingungen, die für Azure-Features gelten, die sich in der Beta- oder Vorschauversion befinden oder anderweitig noch nicht zur allgemeinen Verfügbarkeit freigegeben sind.
Integrierte ASIM-Parser und im Arbeitsbereich bereitgestellte Parser
Viele ASIM-Parser sind in jedem Microsoft Sentinel-Arbeitsbereich integriert und dort standardmäßig verfügbar. ASIM unterstützt auch die Bereitstellung von Parsern in bestimmten Arbeitsbereichen von GitHub aus, mithilfe einer ARM-Vorlage oder manuell. Standardparser und im Arbeitsbereich bereitgestellte Parser sind funktional gleichwertig, haben jedoch etwas unterschiedliche Namenskonventionen, sodass beide Parsersätze im selben Microsoft Sentinel-Arbeitsbereich gleichzeitig verwendet werden können.
Jede Methode hat Vorteile gegenüber der anderen:
Vergleich | Integriert | Im Arbeitsbereich bereitgestellt |
---|---|---|
Vorteile | In jeder Microsoft Sentinel-Instanz vorhanden. Kann mit anderem integriertem Inhalt verwendet werden. |
Neue Parser werden häufig zuerst im Arbeitsbereich bereitgestellt. |
Nachteile | Kann von Benutzern nicht direkt geändert werden. Weniger Parser verfügbar. |
Wird nicht von integriertem Inhalt verwendet. |
Einsatzgebiete | Verwendung in den meisten Fällen, in denen Sie ASIM-Parser benötigen. | Verwendung beim Bereitstellen neuer Parser oder für Parser, die noch nicht sofort verfügbar sind. |
Es wird empfohlen, integrierte Parser für Schemas zu verwenden, für die integrierte Parser verfügbar sind.
Parserhierarchie und -benennung
ASIM umfasst zwei Ebenen von Parsern: vereinheitlichende Parser und quellenspezifische Parser. Der Benutzer verwendet in der Regel den vereinheitlichenden Parser für das relevante Schema, um sicherzustellen, dass alle für das Schema relevanten Daten abgefragt werden. Der vereinheitlichende Parser ruft wiederum quellspezifische Parser auf, um die eigentliche Analyse und Normalisierung durchzuführen, die für jede Quelle spezifisch ist.
Der Name des vereinheitlichenden Parser lautet für integrierte Parser _Im_<schema>
und für im Arbeitsbereich bereitgestellte Parser im<schema>
, wobei <schema>
für das spezifische Schema steht, das er verarbeitet. Quellenspezifische Parser können auch unabhängig voneinander verwendet werden. Verwenden Sie _Im_<schema>_<source>
für integrierte Parser und vim<schema><source>
für im Arbeitsbereich bereitgestellte Parser. Verwenden Sie beispielsweise in einer Infoblox-spezifischen Arbeitsmappe den quellspezifischen Parser _Im_Dns_InfobloxNIOS
. Sie können eine Liste der quellspezifischen Parser in der Liste der ASIM-Parser finden.
Tipp
Es ist auch entsprechender Satz von Parsern, die _ASim_<schema>
und ASim<Schema>
verwenden, verfügbar. Diese Parser unterstützen keine Filterparameter und werden bereitgestellt, um das Problem der auf einen benutzerdefinierten Bereich eingestellten Zeitauswahl zu entschärfen. Verwenden Sie diese Parser nur interaktiv im Protokollbildschirm, aber nicht an anderer Stelle, z. B. in Analyseregeln oder Arbeitsmappen. Diese Parser werden möglicherweise nicht entfernt, wenn das Problem behoben wurde.
Tipp
Die integrierte Parserhierarchie fügt eine Ebene hinzu, um die Anpassung zu unterstützen. Weitere Informationen finden Sie unter Verwalten von ASIM-Parsern.
Nächste Schritte
Weitere Informationen zu ASIM-Parsern finden Sie hier:
- Verwenden von ASIM-Parsern
- Entwickeln benutzerdefinierter ASIM-Parser
- Verwalten von ASIM-Parsern
- Liste der ASIM-Parser
Weitere Informationen zu ASIM im Allgemeinen finden Sie unter:
- Sehen Sie sich das ausführliche Webinar zu normalisierten Parsern und Inhalten in Microsoft Sentinel oder die Folien an.
- Übersicht über das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Schemas für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)
- Inhalte für das erweiterte Sicherheitsinformationsmodell (Advanced Security Information Model, ASIM)